Red Hat OpenShift API Satellite リンク・エンドポイントへのアクセス

デフォルトでは、 Red Hat OpenShift on IBM Cloud API Satellite リンク・エンドポイントは、 IBM Cloud コントロール・プレーンからのトラフィックのみを受け入れるように保護されます。 他のソースからアクセスするには、エンドポイントにアクセス制御リスト（ACL）を設定する必要があります。

creating access control lists by using console の説明に従って、または以下のCLIコマンドを実行することで、エンドポイントのACLを設定できます。

ibmcloud sat acl create --name NAME --location LOCATION --endpoint ENDPOINT --subnet SUBNET [--subnet SUBNET ...]

Red Hat OpenShiftのAPIエンドポイントをSatelliteの場所で見つけるには、ibmcloud sat endpoints --location LOCATION を実行し、openshift-api- で始まる名前のエンドポイントを出力から探します。

ACLが許可する必要のあるサブネットは、どこからAPIサーバーにアクセスしようとしているのか、例えば kubectl コマンドをどこから実行しようとしているのかによって異なります。 エンドポイントを呼び出している実際のソースIPは、特にソースがKubernetesクラスタまたはVPC内のインスタンスから来ている場合、あなたが考えているものとは異なる可能性があります。

お使いの環境に応じて、以下の手順のいずれかを使用してください。

• VPC で実行している場合、以下のコマンドを使ってソースIPを見つけることができます。

  ibmcloud is vpc VPC
  

  出力の中の Cloud Service Endpoint source IP addresses セクションを探してください。 以下に例を示します。

  Cloud Service Endpoint source IP addresses:    Zone         Address
                                                 us-south-1   10.22.13.83
                                                 us-south-2   10.12.158.57
                                                 us-south-3   10.12.164.28
  

  クラウド・サービス・エンドポイントのソースIPを使用してACLを構成します。 以下に例を示します。

  ibmcloud sat acl create --name myOpenShiftACL --location myLocation --endpoint openshift-api-cqv7rh4w0pf9mjcsacd0 --subnet 10.22.13.83 --subnet 10.12.158.57 --subnet 10.12.164.28
  

• クラシックVM を使用している場合は、以下のコマンドを実行して仮想サービス・インスタンスのIPを検索します。

  ibmcloud sl vs list
  

  出力例:

  id          hostname      domain                          cpu   memory   public_ip        private_ip       datacenter   action
  146349551   myhost        mydomain.ibmcloud.private       1     2048     169.48.27.170    10.166.165.5     tor01
  

  仮想サービスインスタンスの private_ip を使用してACLを設定します。 以下に例を示します。

  ibmcloud sat acl create --name myOpenShiftACL --location myLocation --endpoint openshift-api-cqv7rh4w0pf9mjcsacd0 --subnet 10.166.165.5
  

• 他のすべての場合では、Red Hat OpenShift API Satelliteリンクエンドポイントを、IBM Cloud Log Analysis ロケーションの Satellite ログを見てください。 これらのログを開くには、リンクのログの下にあるダッシュボードを開くをクリックします。 モニター・インスタンスにフィルターをセットアップして、必要な値をフィルターで除外することができます。 例えば、ログで flowlog: rejected by を検索すると、拒否されたクライアントIPが表示されます。 エンドポイントのIPに一致するサブネットを持つACLを追加する。 このIPは、Red Hat OpenShift API上のリンクエンドポイント経由で oc コマンドを使用したときに記録されます。 詳細は Satelliteのログ記録 を参照。